Países tentam regular a segurança dos ambientes de IoT

https://network-king.net/wp-content/uploads/2021/04/ioTsecurity-769x414.jpg

Para muitas equipes de desenvolvimento de IoT, a relação custo/benefício não vale os esforços necessários para implementação de recursos de segurança em produtos de consumo. Até porque, até agora os consumidores não pareciam muito dispostos a pagar a mais por segurança cibernética. Mas isso está mudando. Principalmente porque os legisladores estão começando a tornar a segurança um requisito legal para projetos de IoT de consumidor.

Nos últimos anos, uma série de itens e eletrodomésticos foram transformados em dispositivos conectados. A cada segundo, 127 novos dispositivos IoT são conectados à web, e os especialistas preveem que até 2025 esse número será maior que 75 bilhões de dispositivos conectados no total.

De aspiradores de pó inteligentes a assistentes digitais, é fácil entender por que o uso da tecnologia da Internet das Coisas teve uma adoção tão generalizada. Mas a conveniência que oferecem tem sido acompanhada de expressivo aumento nos riscos de segurança e privacidade, tanto no mercado de consumo quanto no mercado corporativo.  

De acordo com o mais recente “Threat Intelligence Report”, da Nokia, os dispositivos IoT são responsáveis ​​por quase um terço de todas as infecções observadas em redes móveis.

“Em 2020, vimos um aumento de 100% nos dispositivos IoT comprometidos. Se as tendências de 2020 continuarem, 2021 verá um aumento significativo nos ataques aos dispositivos IoT”, disse Kevin McNamee, ex-chefe do Threat Intelligence Lab e, agora, gerente de produtos de segurança da Nokia.

Os riscos de segurança IoT mais comuns incluem:

  • Senhas fracas adivinhadas ou codificadas permanentemente
  • Serviços de rede inseguros
  • Interfaces de ecossistema inseguras
  • Falta de mecanismo de atualização seguro
  • Uso de componentes inseguros ou desatualizados
  • Proteção de privacidade insuficiente
  • Transferência e armazenamento de dados inseguros
  • Falta de gerenciamento de dispositivos
  • Configurações padrão inseguras
  • Falta de Endurecimento Físico

Para cada ambiente de IoT (por exemplo, casas inteligentes, cidades inteligentes, carros inteligentes ou ICS / SCADA), é necessário realizar uma avaliação de risco para determinar as ameaças que podem afetar os diferentes ativos, definir os cenários de ataque plausíveis e colocá-los no contexto do serviço de IoT para descobrir quais perigos são críticos ou não e quais podem ser mitigados.

Além das medidas técnicas de segurança, a adoção da IoT levantou muitos novos desafios legais, de política e regulatórios que amplificam os desafios técnicos. A rápida mudança na tecnologia de IoT forçou os legisladores a se adaptarem ao ambiente em constante mudança.

Da perspectiva dos fabricantes, é fundamental estar ciente dos perigos das vulnerabilidades de IoT e das opções para mitigar esses perigos. É evidente que as organizações precisam de uma orientação clara para identificar os controles de segurança apropriados e alocá-los a componentes específicos de seu sistema.

No entanto, a falta de critérios objetivos tem dificultado a criação de métodos-padrão para lidar com os problemas de segurança. Algo que o Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos procurou fazer, para subsidiar a Lei de Melhoria da Segurança Cibernética da Internet das Coisas (The Internet of Things Cybersecurity Improvement Act of 2020, em inglês), assinada em 4 de dezembro de 2020 pelo então presidente Donald Trump.

A nova norma nacional americana determina a criação de padrões e diretrizes mínimas de segurança para os dispositivos conectados à Internet comprados ou usados pelo governo federal do país. Desde o fim de 2020 as agências federais norte-americanas estão obrigadas a adquirir apenas aparelhos em conformidade com os requisitos mínimos de segurança estabelecidos por essas iniciativas.

Apesar de tratar da segurança da informação para o governo federal, o NIST espera que o setor privado também adote as novas regras. Especialistas em cibersegurança e IoT também acreditam que as diretrizes estabelecidas pelo NIST fornecerão aos fabricantes um roteiro geral de como reforçar as medidas de proteção de IoT.

“Embora ainda haja muito trabalho a ser feito para proteger o ecossistema de IoT, este último projeto de lei deve ser aplaudido, pois traz o tópico de segurança de IoT para o primeiro plano da agenda de organizações federais, fabricantes de tecnologia e consumidores”, argumenta Erez Yalon, head de pesquisa em segurança na Checkmarx.

“Usando seu poder de compra, o governo federal pode incentivar o ecossistema IoT mais amplo a garantir a segurança cibernética de seus dispositivos e a divulgação responsável e coordenada de informações de vulnerabilidade”, argumenta Trevor Rudolph, vice-presidente de política e regulamentação digital global da Schneider Electric.

“Esta legislação deve ser vista como um passo positivo na direção certa, mas é realmente isso – um passo – com o próximo sendo uma legislação completa para todas as empresas, públicas ou privadas”, opina Curtis Simpson, diretor de segurança da informação da Armis.

Reguladores europeus também estão mais atentos

Além dos EUA, a Europa tem um padrão básico de cibersegurança para dispositivos IoT de consumo, que foi lançado pelo European Telecommunications Standards Institute em junho de 2020, bem como diretrizes da Agência da União Europeia para Cibersegurança (ENISA) para proteção de processos da cadeia de suprimentos usados ​​para desenvolver produtos de IoT.

Em 16 de dezembro do ano passado, a Comissão Europeia publicou a nova Estratégia da União Europeia para a Cibersegurança na Próxima Década (The EU’s Cybersecurity Strategy for the Next Decade, em inglês). Apesar do texto não tratar exclusivamente de IoT, espera-se um impacto significativo nestes dispositivos.

As autoridades do bloco acreditam que a criação de padrões de segurança cibernética em dispositivos conectados é um dos caminhos para proteger as informações pessoais e governamentais em tempos de conectividade crescente.

A estratégia cobre três domínios: resiliência, soberania tecnológica e liderança; reforço da capacidade operacional para prevenir, dissuadir e reagir; e promoção de um ciberespaço aberto à escala mundial por meio de uma maior cooperação.

Além das regras gerais, países membros têm autonomia para agir no âmbito nacional. Por exemplo, em dezembro de 2020, a Alemanha propôs o seu IT Security Act 2.0. Se aprovado, o novo texto visa garantir a segurança cibernética e da informação, especialmente com os riscos crescentes trazidos pela Internet das Coisas.

Fora do bloco, o governo do Reino Unido pretente criar novas regras para fabricantes de dispositivos de IoT com o objetivo de aumentar a segurança dos dados do consumidor. Se aprovadas, as normas estabelecerão requisitos mínimos de proteção para os aparelhos inteligentes.

A proposta, que esteve em consulta pública até setembro do ano passado, possui três pontos principais: as senhas para os dispositivos conectados devem ser únicas a cada máquina, os consumidores devem ser informados, no momento da compra, sobre o período mínimo em que o aparelho vai receber atualizações de segurança, e os fabricantes devem oferecer meios para que os clientes possam informar vulnerabilidades na salvaguarda do dispositivo.

Outras iniciativas

Em 2019, a Cloud Security Alliance (CSA) publicou o seu “IoT Security Controls Framework”, que propõe controles de segurança de nível básico necessários para mitigar muitos dos riscos associados a um sistema IoT operando em uma variedade de ambientes de ameaça.

Esse framework, junto com o guia que o acompanha, fornece às organizações o contexto no qual avaliar e implementar um sistema IoT empresarial que incorpora vários tipos de dispositivos conectados, nuvem serviços e tecnologias de rede. Mas embora a estrutura ajude os usuários a identificar os controles de segurança apropriados e alocá-los a componentes específicos em seu sistema IoT, o guia tem pouca serventia para usuários finais, com pouco ou quase nenhum conhecimento técnico.

Os usuários finais também devem exigir mais medidas de segurança das empresas que vendem esses dispositivos. Isso criará um efeito cascata, desencadeando ações proativas de fabricantes e fornecedores para abordar holisticamente as preocupações de segurança de IoT desde o início, com um conjunto abrangente de diretrizes necessárias para proteger a fabricação, distribuição e implementação de dispositivos de IoT. Somente por meio desse efeito dominó a segurança da IoT vai além do governo e vai para nossas próprias casas e ambientes de negócios.

FacebookTwitterLinkedIn